Informationen zur Namespaceplanung für Exchange Server 2007
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1
Letztes Änderungsdatum des Themas: 2008-11-14
Wenn Sie Ihre Microsoft Exchange Server 2007-Organisation planen, besteht eine der wichtigsten Entscheidungen, die Sie treffen müssen, in der Auswahl der Anordnung des externen Namespaces Ihrer Organisation. Ein Namespace ist eine logische Struktur, die normalerweise durch einen Domänennamen in DNS dargestellt wird. Wenn Sie Ihren Namespace definieren, müssen Sie die verschiedenen Standorte Ihrer Clients und Server berücksichtigen, auf denen Postfächer gespeichert sind. Neben den physikalischen Standorten der Clients müssen Sie berücksichtigen, wie Verbindungen mit Exchange 2007 hergestellt werden. Die Antworten auf diese Fragen legen fest, wie viele Namespaces erforderlich sind. Ihre Namespaces sind normalerweise an Ihrer DNS-Konfiguration ausgerichtet. Es wird empfohlen, dass jeder Active Directory-Standort in einer Region mit mindestens einem mit dem Internet verbundenen Clientzugriffsserver einen eindeutigen Namespace besitzt. Dieser Sachverhalt wird in DNS normalerweise durch einen A-Datensatz wie z. B. mail.contoso.com oder mail.europe.contoso.com dargestellt.
Bevor Sie eine Exchange 2007-Organisation implementieren, müssen Sie entscheiden, wie Ihre Organisation konfiguriert wird und wie Ihre externen Namespaces definiert werden. Die Entscheidungen, die Sie hinsichtlich Ihrer Namespaces treffen, wirken sich auf Folgendes aus:
Konfiguration von DNS.
Erforderliche Zertifikate zum Verschlüsseln der Kommunikation zwischen Ihren Computern mit Exchange 2007 und Ihren Clientcomputern und Geräten.
Zugriffsart der Clients auf ihre Postfächer, wenn Outlook Anywhere-, Outlook Web Access- oder POP3- und IMAP4-Clients verwendet werden.
Dieser Vorgang beinhaltet die Untersuchung der physikalischen und logischen Netzwerkstruktur sowie die Auswahl einer Organisationstopologie. Dieses Thema bietet eine Übersicht über die verschiedenen Topologien und stellt Informationen zu den Auswirkungen der einzelnen Topologien auf Ihre Exchange-Organisation zur Verfügung.
Hinweis
In diesem Thema wird nicht die Planung interner Namespaces behandelt, die ggf. erforderlich ist, wenn Sie Lastenausgleich an einem Active Directory-Standort bereitstellen. Weitere Informationen zu den Auswirkungen der internen Bereitstellung von Lastenausgleich finden Sie unter Informationen zur Verwendung als Proxy und Umleitung.
Exchange 2007-Organisationsmodelle
In diesem Thema werden die folgenden Topologien untersucht:
Konsolidierten Datencentermodell Dieses Modell besteht aus einem einzigen physikalischen Standort. Alle Server befinden sich innerhalb eines physikalischen Standorts, und es ist ein einziger Namespace vorhanden, z. B. mail.contoso.com.
Einzelner Namespace mit Proxystandorten Dieses Modell besteht aus mehreren physikalischen Standorten. Nur ein Standort enthält einen mit dem Internet verbundenen Clientzugriffsserver. Die anderen physikalischen Standorte sind nicht mit dem Internet verbunden. Für die Standorte in diesem Modell ist nur ein Namespace vorhanden, z. B. mail.contoso.com.
Einzelner Namespace und mehrere Standorte Dieses Modell besteht aus mehreren physikalischen Standorten. Jeder Standort kann über einen mit dem Internet verbundenen Clientzugriffsserver verfügen, oder es ist nur ein einzelner Standort vorhanden, der mit dem Internet verbundene Clientzugriffsserver enthält. Für die Standorte in diesem Modell ist nur ein Namespace vorhanden, z. B. mail.contoso.com.
Regionale Namespaces Dieses Modell besteht aus mehreren physikalischen Standorten und mehreren Namespaces. Ein Standort in New York City verwendet z. B. den Namespace mail.usa.contoso.com, ein Standort in Toronto den Namespace mail.canada.contoso.com und ein Standort in London den Namespace mail.europe.contoso.com.
Mehrere Gesamtstrukturen Dieses Modell besteht aus mehreren Gesamtstrukturen mit mehreren Namespaces. Eine Organisation, die dieses Modell verwendet, könnte aus zwei Partnerunternehmen bestehen, z. B. aus Contoso und ContosoOnline. Die Namespaces könnten mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com und mail.europe.contosoonline.com lauten.
Konsolidiertes Datencentermodell
Das konsolidierte Datencentermodell ist das einfachste Modell, das in diesem Thema behandelt wird. Es besteht aus einem einzigen physikalischen Standort. Die folgende Abbildung zeigt dieses Modell.
.gif "Exchange 2007-Topologie mit einzelnem Namespace")
Das konsolidierte Datencentermodell besitzt die folgenden Vorteile:
Es sind weniger DNS-Datensätze als in Modellen mit mehreren Namespaces zu verwalten.
Es sind weniger Zertifikate zu verwalten. Die Kommunikation zwischen dem Exchange-Clientzugriffsserver und den Clients kann auf verschiedene Weise verschlüsselt werden. Die empfohlene Methode besteht in der Verwendung eines einzelnen Zertifikats, das alternative Antragstellernamen unterstützt. Weitere Informationen zu Zertifikaten, die alternative Antragstellernamen unterstützen, finden Sie unter Unified Communications Certificate-Partner für Exchange 2007 und für Communications Server 2007.
Hinweis
Ein alternativer Antragstellername ist ein Attribut eines digitalen Zertifikats, das dem Standortadministrator ermöglicht, ein einzelnes Zertifikat zu konfigurieren, das alle Namespaces auflistet, die ein Serverzertifikat erfordern.
Hinweis
Alternative Methoden zum Verwalten von Zertifikaten für ein konsolidiertes Datencentermodell sind ein Platzhalterzertifikat, mehrere Zertifikate sowie die ordnungsgemäße Konfiguration von SRV-Datensätzen. Weitere Informationen zu diesen Methoden finden Sie im Dokument White Paper: Exchange 2007 Autodiscover Service (englischsprachig).
Endbenutzer müssen nicht ermitteln, welcher Namespace zu verwenden ist. Alle Endbenutzer verwenden den gleichen Namespace und URL für den Zugriff auf Microsoft Exchange.
Das konsolidierte Datencentermodell besitzt jedoch auch einige Nachteile. Hierzu gehört Folgendes:
Dieses Modell unterstützt nicht mehrere Datencenter.
Wenn regionale Internetlinks aufgrund geringer Bandbreite, langer Wartezeiten oder großer Auslastung langsam sind, bedeutet dies für Endbenutzer in diesen Regionen schlechte Leistung.
Einzelner Namespace mit Proxystandorten
Dieses Modell besteht aus mehreren physikalischen Standorten, die einen einzigen Namespace verwenden. Hinter einem Computer mit ISA Server oder einer anderen Firewall verfügt einer der Standorte über mindestens einen mit dem Internet verbundenen Clientzugriffsserver. Die anderen Standorte enthalten keine mit dem Internet verbundenen Clientzugriffsserver.
Wichtig
Die Installation eines Clientzugriffsservers in einem Umkreisnetzwerk wird nicht unterstützt.
Die folgende Abbildung zeigt dieses Modell.
.gif "Proxystandorte für einzelnen Namespace")
.gif "Caution") Achtung: |
|---|
| Dieses Modell wird nicht empfohlen, wenn alle Standorte über eine Internetverbindung verfügen. Wenn Ihre Topologie mehrere Active Directory-Standorte verwendet, die über eine Internetverbindung verfügen und sich nicht in unmittelbarer Nähe zueinander befinden, wird ein regionales Namespacemodell empfohlen. |
Dieses Modell besitzt die folgenden Vorteile:
Es sind weniger DNS-Datensätze als in Topologien mit mehreren Namespaces zu verwalten. Auf diese Weise wird die Betriebskomplexität verringert.
Es sind weniger Zertifikate zu verwalten. Die Kommunikation zwischen dem Clientzugriffsserver und den Clients kann mithilfe eines einzigen Zertifikats verschlüsselt werden, das alternative Antragstellernamen unterstützt.
Endbenutzer müssen nicht ermitteln, welcher Namespace zu verwenden ist. Alle Endbenutzer verwenden den gleichen Namespace und URL für den Zugriff auf Microsoft Exchange.
Die Bereitstellung eines einzigen Namespaces mit Proxystandorten bringt jedoch auch einige Nachteile mit sich. Hierzu gehört Folgendes:
Ein großer Prozentsatz der Benutzer greift auf den Postfachserver über Proxyweiterleitung zu. Wenn ein Benutzer eine Verbindung mit einem Clientzugriffsserver herstellt, der sich nicht am gleichen physikalischen Standort wie sein Postfachserver befindet, wird er mittels Proxyweiterleitung an einen Clientzugriffsserver weitergeleitet, der sich am gleichen physikalischen Standort wie sein Postfachserver befindet. Aufgrund der zusätzlichen Proxyweiterleitung steigen die WAN-Verbindungskosten, und die Leistung ist nicht optimal. Die Auswirkungen auf die Leistung hängen von der Entfernung der beiden physikalischen Datencentern voneinander und von der Anzahl der Proxyverbindungen ab.
Der Zugriff auf Windows SharePoint Services-Bibliotheken und Windows-Dateifreigaben ist nicht möglich, wenn Benutzer eine Verbindung mit einem Clientzugriffsserver herstellen, der sich nicht am gleichen Standort wie ihr Postfachserver befindet. Dieser Fehler tritt auf, weil für den Zugriff auf Windows SharePoint Services-Bibliotheken und Windows-Dateifreigaben der Benutzername und das Kennwort des Benutzers erforderlich sind. In einem Szenario mit Proxyweiterleitung erfolgt die Kommunikation mit den Windows SharePoint Services-Bibliotheken und Windows-Dateifreigaben über das Systemkonto des Clientzugriffsservers. Dieses Konto ist nicht für den Benutzernamen und das Kennwort des Benutzers aktiviert.
Clients, die das POP3- oder IMAP4-Protokoll verwenden, sind nicht in der Lage, auf ihr Postfach zuzugreifen, wenn sich der Clientzugriffsserver, mit dem sie eine Verbindung herstellen, nicht am gleichen Standort wie ihr Postfachserver befindet. Für POP3- und IMAP4-Verbindungen kann keine Proxyweiterleitung zwischen Standorten erfolgen.
Wichtig
Es ist erforderlich, die virtuellen Zielverzeichnisse auf jedem Clientzugriffsserver am Standort zu konfigurieren, an den Proxyweiterleitung für die integrierte Windows-Authentifizierung erfolgt.
Einzelner Namespace mit mehreren Standorten
Dieses Modell besteht aus mehreren physikalischen Standorten, die einen einzigen Namespace verwenden. Für dieses Modell sind zwei Bereitstellungsoptionen verfügbar. Sie können einen Servercomputer mit ISA Server vor mindestens einem Standort oder einen Clientzugriffsserver-Proxystandort verwenden. Hinter jedem Standort kann mindestens ein Server verfügbar sein, auf den über das Internet zugegriffen werden kann. Für dieses Modell ist ebenfalls eine Lastenausgleichslösung erforderlich, die den eingehenden Datenverkehr gleichmäßig auf die mit dem Internet verbundenen Standorte aufteilt.
Wichtig
Die Installation eines Clientzugriffsservers in einem Umkreisnetzwerk wird nicht unterstützt.
Bereitstellung mit einem Servercomputer mit ISA Server
Die folgende Abbildung zeigt die Bereitstellung dieses Modells hinter einem Servercomputer mit ISA Server oder einer anderen Firewall.
.gif "Bereitstellen eines einzelnen Namespace mit mehreren Standorten")
In der in der Abbildung gezeigten Konfiguration führt ISA Server die Vorauthentifizierung der Verbindung aus, um die Gruppenmitgliedschaft des Clients zu ermitteln. Der Datenverkehr wird dann an den richtigen Standort basierend auf den konfigurierten Veröffentlichungsregeln weitergeleitet.
Dieses Modell besitzt die folgenden Vorteile:
Es sind weniger DNS-Datensätze als in Modellen mit mehreren Namespaces zu verwalten. Auf diese Weise wird die Betriebskomplexität verringert.
Es sind weniger Zertifikate zu verwalten. Die Kommunikation zwischen dem Clientzugriffsserver und den Clients kann mithilfe eines einzigen Zertifikats verschlüsselt werden, das alternative Antragstellernamen unterstützt. Der Servercomputer mit ISA Server kann für die Verwendung eines externen, vertrauenswürdigen Zertifikats von einem anerkannten Anbieter konfiguriert sein. Der Datenverkehr zwischen dem Servercomputer mit ISA Server und den Clientzugriffsservern kann mithilfe eines intern generierten Zertifikats gesichert werden.
Endbenutzer müssen nicht ermitteln, welcher Namespace zu verwenden ist. Alle Benutzer verwenden den gleichen Namespace und die gleiche URL für den Zugriff auf Microsoft Exchange.
Postfächer können ohne Änderungen des externen Namespaces zwischen Standorten verschoben werden. Administratoren, die einen Lastenausgleich zwischen Standorten auszuführen möchten, ohne die Clientkonfiguration zu ändern, erhalten auf diese Weise Flexibilität.
Ein regionaler Namespace kann zu einem späteren Zeitpunkt hinzugefügt werden, wenn erforderlich. Das gleiche Modell kann an einem anderen Standort mithilfe einer anderen externen URL wiederholt werden.
Die formularbasierte Authentifizierung von ISA Server 2006 kann so angepasst werden, dass sie den besonderen Anforderungen einer Organisation genügt.
Die Bereitstellung dieses Modells bringt die folgenden Nachteile mit sich:
Die WAN-Auslastung (Wide Area Network) steigt wahrscheinlich an. Der Grad des Anstiegs hängt vom physikalischen Standort des Servercomputers mit ISA Server ab.
ISA Server muss ordnungsgemäß bereitgestellt und konfiguriert werden.
Die Gruppenmitgliedschaften müssen verwaltet werden, damit sichergestellt ist, dass Datenverkehr an den richtigen Standort weitergeleitet wird. Empfängeradministratoren können standardmäßig keine Sicherheitsgruppen erstellen. Daher muss die Active Directory-Delegierung so konfiguriert werden, dass dedizierte Exchange-Administratoren die Gruppenmitgliedschaft erstellen und aktualisieren können. Die Verwendung von Gruppen verursacht zusätzlichen Betriebsmehraufwand, der berücksichtigt werden muss, wenn neue Postfächer erstellt oder verschoben werden. Die Platzierung eines globalen Katalogservers in der Nähe des Servercomputers mit ISA Server ist die empfohlene Methode, damit nicht erforderliche Authentifizierungsanforderungen das WAN nicht durchlaufen.
Wichtig
Es wird nicht empfohlen, eine Topologie bereitzustellen, die über einen einzigen Namespace und mehrere Active Directory-Standorte verfügt. Wenn Ihre Topologie mehrere Active Directory-Standorte verwendet, wird empfohlen, ein regionales Namespacemodell zu verwenden.
Hinweis
Um einen einzigen Namespace mit mehreren Standorten bereitzustellen, müssen Sie die Werte ExternalURL für die virtuellen Verzeichnisse auf den mit dem Internet verbundenen Clientzugriffsservern löschen, wenn Sie die Umleitung deaktivieren und Proxyweiterleitung erzwingen möchten.
Bereitstellung mit einem Clientzugriffsserver-Proxystandort
Die folgende Abbildung zeigt dieses Modell.
.gif "Bereitstellung mit einem Clientzugriffsserver-Proxystandort")
In diesem Modell werden alle Clientverbindungen externen Ursprungs an den Active Directory-Standort C weitergeleitet. Die Verbindungen werden dann mittels Proxyweiterleitung durch den Clientzugriffsserver an Standort C an den Standort weitergeleitet, der das Postfach des Benutzers enthält.
Dieses Modell besitzt die folgenden Vorteile:
Es sind weniger DNS-Datensätze als in Modellen mit mehreren Namespaces zu verwalten. Auf diese Weise wird die Betriebskomplexität verringert.
Es sind weniger Zertifikate zu verwalten. Die Kommunikation zwischen dem Clientzugriffsserver und den Clients kann mithilfe eines einzigen Zertifikats verschlüsselt werden, das alternative Antragstellernamen unterstützt. ISA Server kann für die Verwendung eines externen, vertrauenswürdigen Zertifikats eines anerkannten Anbieters konfiguriert werden, und der Datenverkehr zwischen ISA Server und Clientzugriffsservern kann mithilfe eines intern generierten Zertifikats gesichert werden.
Endbenutzer müssen nicht ermitteln, welcher Namespace zu verwenden ist. Alle Endbenutzer verwenden den gleichen Namespace und die gleichen URLs für den Zugriff auf Microsoft Exchange. Wenn geteiltes DNS konfiguriert ist, kann dieses Modell auch verwendet werden, um einen internen Namespace zu vereinheitlichen. Wenn geteiltes DNS nicht konfiguriert ist, erreichen alle internen Clientanforderungen die Firewall und werden entsprechend weitergeleitet.
Postfächer können zwischen Standorten verschoben werden, ohne dass der Namespace aus der Perspektive eines externen Benutzers geändert wird. Administratoren, die einen Lastenausgleich zwischen Standorten auszuführen möchten, erhalten auf diese Weise Flexibilität. Diese Vorgehensweise ist außerdem nützlich, wenn ein Notfall eintritt und der gesamte Dienst zwischen Standorten verschoben werden muss, weil keine Änderung der Clientkonfiguration erforderlich ist.
Ein regionaler Namespace kann zu einem späteren Zeitpunkt hinzugefügt werden, wenn erforderlich. Das gleiche Modell kann an einem anderen Standort mithilfe einer anderen externen URL wiederholt werden.
Dieses Modell besitzt die folgenden Nachteile:
Die WAN-Auslastung (Wide Area Network) steigt wahrscheinlich an. Sie hängt vom physikalischen Standort der Clientzugriffsserver am Standort mit der Internetverbindung ab.
Zusätzliche Clientzugriffsserver müssen ordnungsgemäß bereitgestellt und konfiguriert werden.
Alle Benutzer greifen über Proxyweiterleitung auf ihre Postfächer zu. Wenn der Benutzer eine Verbindung mit dem Clientzugriffsserver an Standort C herstellt, befindet sich dieser nicht am gleichen Active Directory-Standort wie sein Postfachserver. Er wird mittels Proxyfunktionen an einen Clientzugriffsserver weitergeleitet, der sich am gleichen Active Directory-Standort wie sein Postfachserver befindet. Aufgrund der zusätzlichen Proxyweiterleitung ist die Leistung nicht optimal . Die Auswirkungen auf die Leistung hängen von der Entfernung zwischen den beiden physikalischen Standorten ab.
Der Zugriff auf Windows SharePoint-Bibliotheken und Windows-Dateifreigaben ist nicht möglich, wenn Benutzer eine Verbindung mit einem Clientzugriffsserver herstellen, der sich nicht am gleichen Standort wie ihr Postfachserver befindet. Dies liegt daran, dass für den Zugriff auf Windows SharePoint Services-Bibliotheken und Windows-Dateifreigaben der Benutzername und das Kennwort des Benutzers erforderlich sind. In einem Szenario mit Proxyweiterleitung erfolgt die Kommunikation mit den Windows SharePoint Services-Bibliotheken und Windows-Dateifreigaben über das Exchange-Systemkonto. Dieses Konto ist nicht für den Benutzernamen und das Kennwort des Benutzers aktiviert.
Clients, die das POP3- oder IMAP4-Protokoll verwenden, sind nicht in der Lage, auf ihr Postfach zuzugreifen, wenn sich der Clientzugriffsserver, mit dem sie eine Verbindung herstellen, nicht am gleichen Standort wie ihr Postfachserver befindet. Für den POP3- und IMAP4-Zugriff kann keine Proxyweiterleitung zwischen Standorten erfolgen.
Wichtig
Die Eigenschaft ExternalURL für jedes virtuelle Verzeichnis an einem Standort, der Benutzerpostfächer enthält, muss auf $null festgelegt werden.
Wichtig
Clientzugriffsserver unterstützen nicht mehrere Proxyebenen. Auf jeden Standort, der Benutzerpostfächer enthält, müssen die Clientzugriffsserver am dedizierten Proxystandort zugreifen können.
Hinweis
Ggf. ist zusätzliche Netzwerkkonfiguration erforderlich, wenn mehrere Standorte verwendet werden. Dies kann die Konfiguration von Hardware-Lastenausgleichsmodulen, mehreren DNS-Einträgen und Routenredundanz beinhalten. Die physikalische Bereitstellung ist abhängig von der jeweiligen Netzwerktopologie der Organisation unterschiedlich.
Regionale Namespaces
Das Modell mit mehreren Standorten, das einen anderen Namespace für jeden Standort verwendet, wird als regionales Namespacemodell bezeichnet. Die folgende Abbildung zeigt das regionale Namespacemodell.
.gif "Exchange 2007-Topologie mit mehreren Namespaces")
Dieses Modell besitzt die folgenden Vorteile:
- Die Proxyweiterleitung wird verringert, weil ein größerer Prozentsatz der Benutzer in der Lage ist, eine Verbindung mit einem Clientzugriffsserver am gleichen Active Directory-Standort wie ihr Postfachserver herzustellen. Auf diese Weise wird die Benutzerumgebung und die Leistung verbessert. Für Benutzer, die Postfächer an einem Standort besitzen, der nicht über einen mit dem Internet verbundenen Clientzugriffsserver verfügt, erfolgt weiterhin Proxyweiterleitung.
Dieses Modell besitzt die folgenden Nachteile:
Es müssen mehrere DNS-Datensätze verwaltet werden.
Mehrere Zertifikate müssen erworben, konfiguriert und verwaltet werden.
Die Verwaltung der Sicherheit ist komplexer, weil für jeden mit dem Internet verbundenen Standort ein Computer mit ISA Server oder eine andere Firewall erforderlich ist.
Jeder Benutzer muss eine Verbindung mit seinem eigenen regionalen Namespace herstellen. Dies kann zu vermehrten Anrufen beim Helpdesk und zu einem erhöhten Schulungsbedarf führen.
Wichtig
Das regionale Namespacemodell wird für Topologien empfohlen, die mehrere Active Directory-Standorte umfassen, die über ihre eigenen Internetverbindungen verfügen.
Mehrere Gesamtstrukturen
Dieses Modell besteht aus mehreren Gesamtstrukturen mit mehreren Namespaces. Eine Organisation, die dieses Modell verwendet, könnte aus zwei Partnerunternehmen bestehen, z. B. aus Contoso und ContosoOnline. Die Namespaces könnten mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com und mail.europe.contosoonline.com lauten.
Es wird empfohlen, ein regionales Namespacemodell für jede Gesamtstruktur zu implementieren, um Endbenutzern das höchste Leistungsniveau zur Verfügung zu stellen. Mehrere Zertifikate müssen für jede Gesamtstruktur verwaltet werden.
Weitere Informationen
Weitere Informationen zur Namespaceplanung und den Auswirkungen auf die Sicherheit von Exchange Server finden Sie unter den folgenden Themen: